ISA in začetna revolucija varnosti strojne opreme

Večna igra mačke z mišjo, ki postavlja izboljšave varnosti IT proti razvijajočim se izkoriščanjem napadalcev, je običajno uokvirjena kot oboroževalna tekma naraščajoče sofisticiranosti programske opreme. Varnostne ekipe izvajajo programsko opremo požarnega zidu, protivirusno zaščito, šifriranje podatkov, večfaktorsko avtentikacijo, nadzor dostopa, orodja za odkrivanje in ublažitev vdorov ter sisteme za varnostno kopiranje podatkov za boljšo nevtralizacijo in okrevanje po zaklepanju izsiljevalske programske opreme. Nasprotno pa slabi fantje razvijejo bolj subtilna izkoriščanja, ki lahko ostanejo neodkrita, od bolj zapletenih shem zlonamerne programske opreme, kot so napadi lažnega predstavljanja, do izsiljevalske programske opreme, ki čaka, da preide v varnostne sisteme za varnostno kopiranje, preden napade.

Igra napreduje in za večino razprav je bojno polje programska oprema. Vendar ti omejeni parametri pogrešajo hiter prihod strojna oprema varnostna revolucija.

Nastajajoče tehnologije v varnostnem prostoru strojne opreme — namreč napredne arhitektura nabora ukazov (ISA) razširitve — so postavljene tako, da prispevajo k repertoarju varnosti IT, ki spreminja igro. Varnostni zaščitni ukrepi, uvedeni na ravni strojne opreme, temelj, na katerem deluje vsa varnost, ki temelji na zlonamerni programski opremi in programski opremi, imajo edinstveno moč, da potegnejo preprogo izpod strategij napadov, tako da zlobnim aplikacijam preprečijo dostop do izkoriščanja ali celo možnost zagona v prvem mesto.

ISA so temeljni za varnost IT

Preden razpravljamo o posebnih novih dogodkih na področju varnosti na podlagi strojne opreme, je tukaj kratka zgodovinska lekcija. Čeprav se o njih manj razpravlja, so varnostne zaščite na strojni strani glavne knjige običajne in so že dolgo temeljne za varnost IT.

ISA so bistvenega pomena za načrtovanje računalniških procesorjev, saj določajo nabor navodil, ki jih CPE lahko izvaja. Nekateri ISA-ji so zmožni šifriranja in navodil za zaščito pomnilnika. Varnostni strokovnjaki zagotovo poznajo šifriranje na osnovi strojne opreme metode, ki preprečujejo nepooblaščen dostop do trdih diskov in omrežnih podatkov. Trusted Platform Module (TPM) je dobro uveljavljen varnostni standard strojne opreme, ki ščiti pred posegi in ogrožanjem ob zagonu, kot je Secure Boot. Ti varnostni ukrepi lahko trenutno ščitijo strojno opremo, ki jo uporabljate.

O x86 ISA je močan zaveznik varnostnih ekip, ki varujejo stroje, ki temeljijo na Intelu. Arm, ponudba najbolj uporabljanih družina ISA globalno je zagotovil varnostne funkcije ISA v svojih procesorjih z nizko obremenitvijo, zaradi katerih je postal vodilni v ISA za zaščito telefonov, tablic in drugih mobilnih naprav.

Če pogledamo novejšo zgodovino, je RISC-V brezplačen, odprtokodni ISA izdan leta 2015. Hitro je postal priljubljen zaradi svoje prilagodljivosti pri omogočanju novih aplikacij in raziskav. RISC-V velja za najvidnejšega izzivalca prevlade x86 in Arm zaradi svoje odprtokodne narave in vratolomne rasti.

Prihodnost ISA je obetavna

Nastajajoče nove razširitve ISA, ki izkoriščajo odprtokodne tehnologije, kažejo vznemirljiv potencial za revolucioniranje varnostnih praks IT in omogočanje varnostnih strategij, ki spreminjajo igro, za ekipe razvijalcev. En primer so navodila RISC, izboljšana s strojno opremo (CHERI), varnostni raziskovalni projekt na osnovi strojne opreme, ki razvija ISA, ki vključuje CHERI Arm in CHERI RISC-V. Pod vodstvom Univerze v Cambridgeu in SRI International ISA-ji, izboljšani s CHERI, uporabljajo edinstven pristop nadzora dostopa do pomnilnika prek omejitev in dovoljenj, uveljavljenih s strojno opremo, hkrati pa ohranjajo združljivost z obstoječo programsko opremo. Projekt ponuja tudi CheriBSD, ki prilagaja odprtokodni operacijski sistem FreeBSD za podporo varnostnih funkcij CHERI ISA, vključno z razdelitvijo programske opreme in zaščito pomnilnika.

Možnosti CHERI najbolje ponazarja njegov najnaprednejši prototip do sedaj: Platforma Morello podjetja Arm, sistem na čipu in razvojna plošča, ki združuje CheriBSD in visoko zmogljivo jedro. Platforma Morello lahko razvijalcem programske opreme zagotovi namizno okolje, ki je popolnoma varno za pomnilnik. Prizadevanja za standardizacijo CHERI za odprtokodni RISC-V ISA so v teku in bodo izkoristila obstoječe izvedbe FPGA za RISC-V. V znak velike obljube varnostnih strategij, ki temeljijo na strojni opremi, ki jih poganja CHERI, so Google, Microsoft in drugi glavni akterji sodelovali pri projektu in dejavno prispevali k raziskavam na platformi Morello in CHERI-RISC-V.

Zakaj so CHERI in druge nastajajoče rešitve ISA tako potencialno revolucionarne? Zaščita pred varnostne ranljivosti pomnilnika, kot je log4j, iz sistemskih aplikacij, napisanih v C/C++, je globalno glavna prednostna naloga, ki ima dolgo zgodovino znanih zlorab pomnilnika. Prepisovanje milijonov aplikacij je previsoko drago in potreben je boljši način za zaščito uporabnikov.

Tukaj pridejo na vrsto novi varnostni mehanizmi, ki temeljijo na strojni opremi, kot je CHERI. Ti bi lahko naredili organizacije imune na številne napade in ranljivosti programske opreme. Sistemi, ki uporabljajo CHERI, bi lahko preprečili kakršen koli napad, ki se osredotoča na izkoriščanje pomnilnika, kot so prekoračitve medpomnilnika in ranljivosti uporabe po brezplačni uporabi. Visoko zmogljiva delitev, ki jo zagotavljajo nastajajoči ISA-ji, prav tako zagotavlja varnostnim ekipam močno orodje za varovanje dostopa do občutljivih podatkov in njihovo zaščito pred napadalci. Raziskovalci CHERI so poleg tega prikazali celoten pomnilniški sklad namiznih aplikacij, zgrajen na FreeBSD, ki zahteva le minimalno prilagoditev programske opreme.

Odprta koda spodbuja IT varnost naprej

Naraščajoča kompleksnost in sofisticiranost sodobnih tehnik napadov skoraj zahteva revolucijo v varnostnih zmožnostih IT. Nastajajoče tehnologije ponujajo to priložnost v obliki novih varnostnih strategij, ki imajo celovito, uravnoteženo zaščito programske in strojne opreme.

Sodelovalna moč odprte kode je bistveni motor te revolucije, ki pospešuje napredek pri projektih s prispevki celotne IT in varnostne skupnosti. V prihodnje bodo najboljše rezultate dosegle organizacije, ki okrepijo svojo varnostno držo s premišljenim sklopom napredne varnosti na osnovi strojne opreme ISA in združljivih varnostnih orodij na osnovi programske opreme.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/endpoint-security/isa-dawning-hardware-security-revolution